DSK Orientierungshilfe: Anforderungen an Anbieter von Onlinediensten zur Zugangssicherung

Sehr geehrte Damen und Herren,

die Datenschutzkonferenz (DSK) der Aufsichtsbehörden aller Bundesländer hat nach Ihrer letzten Zusammenkunft diverse Entschließungen und Orientierungshilfen erlassen. Mit diesen Dokumenten möchten die Aufsichtsbehörden Ihre Sicht der Dinge im Datenschutz darstellen und Unternehmen sowie öffentlichen Stellen Hinweise an die Hand geben, um den Datenschutz rechtskonform umzusetzen. Nicht immer bleiben solche Orientierungshilfen und Entschlüsse frei von Kritik, da teilweise auch kontroverse, unpopuläre oder auch schwer umzusetzende Meinungen von der DSK vertreten.

Nichtsdestotrotz möchten wir uns hier mit einer Orientierungshilfe (OH) beschäftigen, die Besonders für Anbieter von Onlinediensten interessant ist: Die Zugangssicherung.

Betroffen davon, dürfte jeder Verantwortliche sein, der auf seiner Webseite eine Registrierungs- und Login-Möglichkeit mit Benutzername und Passwort anbietet. Für welche Leistung die Registrierung notwendig ist, ist dabei unerheblich. Die DSK hat in der Orientierungshilfe die Mindestanforderungen formuliert, die aktueller Stand der Technik für die Zugangssicherung sind. Die wichtigsten Informationen aus der Orientierungshilfe wollen wir Ihnen hiermit näherbringen.

Passwortstärke messen und anzeigen

Demjenigen, der sich für einen Onlinedienst registrieren will, sollte bei der Auswahl des Passworts die Passwortstärke angezeigt werden. Dies soll die sichere Passwortvergabe fördern. Als sichere Passwörter werden von der DSK hier Passwörter mit einer Zeichenlänge von mindestens 10 Zeichen angesehen.

Passwortwechsel nur in Sonderfällen erzwingen

Nach der baden-württembergischen Aufsichtsbehörde, empfiehlt nun auch die DSK, dass keine Passwortwechsel mehr erzwungen werden sollen, wenn das Passwort sicher ist. Ein Zwang zum Passwortwechsel in regelmäßigen Intervallen soll also wegfallen. Eine Ausnahme hiervon stellt es dar, wenn der Verantwortliche dem Nutzer ein Initialpasswort für die Registrierung zuweist. In diesem Fall soll ein Zwang zum Passwortwechsel notwendig sein.

Fehlgeschlagene Anmeldeversuche

Fehlgeschlagene Login-Versuche sollen registriert und dem rechtmäßigen Nutzer angezeigt werden. Nach einer bestimmten Anzahl von fehlgeschlagenen Anmeldeversuchen (anwendungsabhängig) soll die Anmeldung zeitweise oder dauerhaft gesperrt werden.

Sinnvolle Benachrichtigungen

Die Nutzer sollen über wichtige Ereignisse informiert werden, z. B. über die Änderung von Daten im Nutzerkonto oder Anmeldeversuche aus anderen Ländern.

Sicheres Passwort-Reset

Passwort-Reset-Verfahren müssen gegen unbefugte Zugriffsversuche und Social Engineering geschützt sein. D. h. ein Nutzer muss eine sichere Möglichkeit bekommen auf sein Konto zuzugreifen, auch wenn er sein Passwort vergessen hat. Dabei sollen Passwort-Reset-Links eine sichere Möglichkeit darstellen, die in Verbindung mit mehreren Sicherheitsfragen größtmögliche Sicherheit vor Missbrauch schaffen können. E-Mails, in denen lediglich vom Verantwortlichen ein neues Passwort zur Verfügung gestellt wird, sollen nicht als sicher gelten.

Verschlüsselte Passwort-Übertragung und -speicherung

Nach der Registrierung hat die Übertragung des Passworts an den Diensteanbieter über einen kryptographisch abgesicherten Transportkanal zu erfolgen. Die Passwortübermittlung muss also verschlüsselt erfolgen.

Außerdem sollten die Passwörter beim Diensteanbieter über ein Hashverfahren verschlüsselt gespeichert werden. Passwörter sollten niemals im Klartext hinterlegt werden! Dies stellt bereits einen Verstoß gegen Art. 32 DS-GVO dar.

Schutz vor unbefugtem Zugriff

Natürlich sollen die Passwort-Datenbanken durch technische und organisatorische Maßnahmen vor unbefugtem Zugriff geschützt werden. Die DSK verlangt zudem noch regelmäßige Penetrations- und Schwachstellentests für die Maßnahmen durchzuführen.

Zwei-Faktor-Authentisierung

Den Nutzern soll außerdem eine Zwei-Faktor-Authentisierung angeboten werden. D. h. dem Nutzer muss auf einem anderen Kommunikationskanal oder anderen Gerät noch eine Möglichkeit zur Authentisierung gegeben werden. Eine Zwei-Faktor-Authentisierung ist bei Verarbeitungen mit hohem Risiko keine reine Empfehlung, sondern zum Erreichen eines angemessenen Schutzniveaus notwendig.

Weitere Anforderungen, die die DSK an die Zugangssicherung stellt sind:
• Schulung der Beschäftigten der Diensteanbieter zur Zugangssicherung
• Trennung von Authentifikations- und Nutzdaten
• Information über Passwort-Manager

All diese Maßnahmen sind keine neuen Erfindungen der DSK, sondern werden seit Monaten im Zuge der gehäuften Daten-Leaks bei Facebook etc. von Behörden wie Medien gepredigt. Die DSK hat hier also tatsächlich den aktuellen Stand der Technik als Mindestanforderungen vorgegeben, weshalb eine Umsetzung der Maßnahmen für Anbieter von Onlinediensten machbar sein sollte. Es dient der Sicherheit der Nutzer aber schützt ebenso vor Datenschutzvorfällen und Bußgeldern.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Kontaktieren Sie uns

Office Radebeul
+ 49 (0)351 27220880

E-Mail:
info@datarea.de

Log in